18.H3C交换机AAA安全访问控制与管理18・1H3C交换机AAA基础AAA是Authentication,AuthorizationandAccounting(认证、授权和计费)的简称,是对网络访问控制的一种管理模式。它提供了一个对认证、授权和计费这三种功能进行统一配置的框架;“认证”确定哪些用户可以访问网络服务器;“授权”确定具有访问权限的用户最终可以获得哪些服务;“计费”确定如何对正在使用网络资源的用户进行计费。18.1.1AAA简介AAA一般采用C/S(客户端/服务器)结构:客户端运行于被管理的资源侧(这里指网络设备,如接入交换机),服务器上几种存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。1.AAA认证AAA支持以下认证方式:■不认证:对接入用户信任,不进行合法性检查。这是默认认证方式。■本地认证:采用本地存储的用户信息对用户进行认证。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件(如闪存大小)限制。■远程认证:在H3C以太网交换机中,远程认证是指通过RADIUS服务器或HWTACACS(CiscoIOS交换机中采用的是TACACS+协议)服务器对接入用户进行的认证。此时,H3C交换机作为RADIUS或者HWTACACS客户端,与RADIUS服务器或TACACS服务器通信。远程认证的有点是便于集中管理,并且提供丰富的业务特性;缺点是必须提供专门的RADIUS或者HWTACACS服务器,并进行正确的服务器配置。2.AAA授权AAA支持以下授权方式:■直接授权:对用户信任,直接授权通过。■本地授权:根据交换机上为本地用户账号配置的相关属性进行授权。■RADIUS认证成功后远程授权:由RADIUS服务器对用户进行远程授权。要注意:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS服务器进行授权。■HWTACACS远程授权:由HWTACACS服务器对用户进行远程授权(HWTACACS服务器的授权是独立于认证进行的)。3.AAA计费AAA支持以下计费方式:■不计费:不对用户计费。■本地计费:实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。■远程计费:支持通过RADIUS服务器或HWTACACS服务器进行远程计费。18.1.2ISP域简介ISP域即ISP用户群,通常是把经过同一个ISP接入的用户划分到同一个ISP域中。这主要是应用于存在多个ISP的应用环境中,因为同一个接入设备接入的有可能是不同ISP的用户。如果只有一个ISP,则可以直接使用系统默认域system。在ISP域视图下,可以为每个ISP域配置包括使用AAA策略在内的一整套单独的ISP域属性。用户的认证、授权、计费都是在用户所属的ISP域视图下应用预先配置的认证、授权、计费方案实现的。这个用户所属的ISP域,由其登录时提供的用户名决定:■如果用户登录时输入“userid@domain-name”形式的用户名,则其所属的ISP域为“domain-name”域。■如果用户登录时输入“userid”形式的用户名,贝康所属的ISP域为接入设备上配置的默认域system。为便于对不同接入方式的用户进行区分管理,AAA还可以将域用户划分为以下两个类型:■lan-access用户(局域网访问用户):通过LAN接入的用户,如直接接入LAN中,然后通过IEEE802.1X认证、MAC地址认证的用户。■login用户:通过远程网络登录的用户,如SSH、Telnet、FTP、终端接入用户。18.1.3HWTACACS简介HWTACACS(华为终端访问控制器访问控制系统)是在TACACS协议基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,交换机设备也是用来担当客户端的,也是通过C/S模式与HWTACACS服务器通信来实现多种用户的AAA功能,可用于PPP和VPDN接入用户及终端用户的认证、授权和计费。但是RADIUS服务器的认证和授权是捆绑在一起进行的,而TACACS和HWTACACS的认证好授权是独立进行的。TACACS/HWTACACS主要用于远程登录用户(非直接LAN访问用户)的访问控制和计费,交换机作为TACACS/HWTACACS的客户端,充当中间代理的作用,将请求认证的用户的用户名和密码发送给TACACS/HWTACACS服务器进行验证,验证通过并得到授权之后,用户才可以登录到交换机上进行操作。18・1・4H3C交换机配置AAA配置任务在H3C以太网交换机AAA方案中,又可以区分ISP域是采用认证、授权、计费捆绑方式,还是采用认证、授权、计费...
VIP
